Garantice que su estrategia de defensa contra el cibersecuestro de datos supere interrupciones y extorsiones

La protección en múltiples capas de Huawei contiene los ataques de cibersecuestro de datos.

La migración masiva que incentivó la pandemia al trabajo remoto ha sido un vector de amenaza significativo que precipitó un incremento súbito de los ciberataques durante el año pasado. Entre los ataques más comunes, se destacó el cibersecuestro de datos (ransomware), el cuál aumentó un 92.7 por ciento de un año a otro en 2021, según la consultora NCC Group.

En otro sitio, una encuesta de IDC reveló que más de un tercio de las organizaciones de todo el mundo ha sufrido un ataque o una infracción de ransomware. La cantidad de ataques está a punto de incrementarse conforme sigan surgiendo nuevas bandas de cibersecuestro de datos y las empresas criminales sigan invirtiendo en herramientas que exploten las vulnerabilidades de día cero.

Lindy Cameron, directora general del Centro Nacional de Ciberseguridad en el Reino Unido, ha destacado el ransomware como “el peligro más inmediato para las empresas del Reino Unido y para la mayoría de las demás organizaciones”. De hecho, los ataques de rescate de alto perfil contra la infraestructura crítica, empresas privadas y municipios ya acaparan titulares.

El ataque de mediados de 2021 contra Colonial Pipeline logró explotar un sistema de red privada virtual heredado que carecía de autenticación de varios factores, y cerró los conductos clave que suministraban combustible a la costa este de EE. UU.

Colonial Pipeline pagó aproximadamente USD $5 millones en criptomoneda a los hackers de Europa del Este (aunque el Departamento de Justicia de los Estados Unidos recuperó más tarde USD 2.3 millones del rescate pagado). Sin embargo, la cadena de suministro de entrega de la empresa tardó más de una semana en volver a la normalidad.

Sin embargo, resulta más preocupante aún la amenaza de las iniciativas de rescate y extorsión digital que plagan a empresas cualquier dimensión —desde una infraestructura crítica de millones de dólares como Colonial Pipeline hasta una cadena de supermercados en la provincia china de Zhejiang.

Los extorsionadores de bitcoin hackearon el sistema de cajeros del supermercado, lo llevaron fuera de línea, e hicieron que todos los datos en el servidor fueran inaccesibles. Los atacantes exigieron el pago de 0.042 bitcoins en un plazo de 24 horas. En ese momento, cada bitcoin se valoraba en USD 43,730. Dada la proliferación y la creciente sofisticación de los ataques de ransomware, el ataque al supermercado Zhejiang muestra que cualquier negocio que no esté preparado podría ser la próxima víctima.

1.1.1    Evolución impulsada por los beneficios

Los ataques de cibersecuestro de datos utilizan malware que cifra o roba los datos de la víctima. Los atacantes hacen que los equipos o archivos específicos de las víctimas sean inutilizables o ilegibles y, a continuación, exigen un rescate para recuperar el equipo o descifrar el archivo cifrado. Los rescates a menudo se pagan con criptomonedas.

Aquellos que lanzan las amenazas no cesan de modificar sus tácticas a medida que buscan maneras eficaces para ganar dinero. Seis tendencias prevalecen en la evolución continua del cibersecuestro de datos:

• Los ataques de ransomware se dirigen de manera más específica a clientes de alto valor en lugar de limitarse a campañas amplias, en las que se centran las grandes y medianas empresas y en la infraestructura.

• Debido a que las organizaciones más grandes tienden a realizar copias de seguridad de datos valiosos para minimizar las interrupciones o los daños, muchos delincuentes han adoptado el modelo de doble extorsión que aumenta la apuesta por una filtración de datos. Más allá del cifrado de datos, los atacantes también amenazan con exponer datos exfiltrados en la web oscura, lo que aumenta la presión sobre las víctimas para que paguen.

• El rápido desarrollo de redes y TI; el uso generalizado de big data, cómputo en nube e Internet móvil; y la continua popularidad de las criptomonedas han creado una nueva normalidad de datos inseguros que atiza el crecimiento del cibersecuestro de datos.

• Los operadores de ransomware han reinventado su modelo de negocios con el ransomware como servicio (RaaS), y venden servicios relacionados a otros atacantes mediante membresías, suscripciones o personalización.

• El ataque del 2021 de julio contra el desarrollador estadounidense de soluciones de gestión remota Kaseya pone de relieve el énfasis de los actores de la amenaza en las cadenas de suministro como principal punto de entrada para los ataques de extorsión. En estos ataques a gran escala, los actores de la amenaza violaron el sistema de la víctima a través de una vulnerabilidad en un software o proveedor de servicios.

• Aprendiendo de las campañas de amenazas avanzadas persistentes (APT), quienes amenazan personalizan los ataques de ransomware con equipos de ataques altamente experimentados que asestan golpes a las víctimas con una precisión y capacidad semejantes a las de APT.

Estos ataques de cibersecuestro de datos ocasionan que las víctimas sufran interrupciones extendidas de sus servicios, alto costo de recuperación y una reputación arruinada. Y resulta más complicado encontrar de nuevo un equilibro cuando los consumidores han perdido confianza en la experiencia digital de la marca.

Como es de esperar, la cantidad pagada por las víctimas del rescate va en aumento. La demanda promedio de rescate alcanzó los USD 2.2 millones en 2021, un aumento de 144 por ciento con respecto al año anterior, según el grupo de consultoría de seguridad Unit 42. Mientras tanto, el pago promedio de rescate creció 78 por ciento a USD 541,010. Este crecimiento se debe a un fuerte aumento interanual del 171 por ciento en el pago medio en 2020.

A nivel mundial, los daños causados por el ransomware alcanzaron los USD 20 mil millones en 2021, 57 veces más que en 2015. La firma de investigación Cybersecurity Ventures proyecta que esta tendencia aumentará a USD 265 mil millones para 2031. En julio del año pasado, la banda de ransomware de REvil que perpetró el asalto de la cadena de suministro a Kaseya exigió USD 70 millones de criptomonedas —la mayor demanda de rescate hasta la fecha— para descodificar las máquinas afectadas en miles de empresas en todo el mundo.

1.1.2    Protección a prueba de manipulaciones

El resultado final es que el impacto debilitante y ruinoso de un ataque ransomware obliga a las organizaciones de TI a garantizar que su ciberseguridad y la planificación de contingencias puedan soportar un incidente grave. Los datos centrales deben protegerse dentro de un sistema de protección físicamente aislado. Además, la detección de software ransomware integrada en el NAS puede analizar el comportamiento del usuario y las funciones de corrupción de archivos, enviar alarmas de eventos y proporcionar información del cliente para rastrear las fuentes, si fuera necesario.

Además de la protección de seguridad en el nivel de red, la infraestructura de almacenamiento profesional también debe tener capacidades de ataque anti-ransomware. Los sistemas de almacenamiento de datos de Huawei proporcionan una solución de protección de alta seguridad tanto para el almacenamiento principal como para el almacenamiento de copias de seguridad, durante y después de un ataque de ransomware.

En específico, hay tres tecnologías clave en juego para una protección eficaz contra los ataques de ransomware:

• Replicación de air gap (brecha de aire): la tecnología de replicación de air gap de Huawei establece el acuerdo de nivel de servicio de replicación para que los datos se puedan replicar automática y periódicamente desde el almacenamiento de producción o copia de seguridad al entorno de aislamiento para el análisis de seguridad. Las copias de datos permanecen sin conexión antes y después de la replicación.

• Sistema de archivos WORM e instantáneas seguras: los usuarios pueden establecer un período de protección mediante un sistema de archivos escritura única lectura múltiple (WORM) o instantáneas de sólo lectura para evitar que el ramsomware modifique, elimine o cifre los datos de producción o copia de seguridad.

• Detección de ransomware: mediante algoritmos avanzados, Huawei se basa en un modelo para identificar cambios anormales en los metadatos de las copias de seguridad en comparación con una línea base establecida. Cualquier cambio en los datos cuya causa se determine por el cifrado de ransomware se marca para la acción correctiva necesaria.

Estas tecnologías posicionan la Solución de almacenamiento de protección contra ransomware de Huawei para que las empresas creen un sistema de defensa multicapa de protección contra el ransomware, al tiempo que mejoran el conocimiento y la gestión de la seguridad.

1.1.3    Los defensores aplastan a los atacantes

En el laboratorio del Centro de Investigación de Chengdu de Huawei, un equipo de protección de ransomware enfrentó la Solución de almacenamiento de datos OceanStor en cuatro escenarios para ilustrar sus capacidades de protección:

• Primer round: ransomware común vs. lista negra preconfigurada. El equipo de defensa utilizó una lista negra en el sistema OceanStor para interceptar y bloquear fácilmente el ransomware común de Ryuk.

• Segundo round: ransomware raro vs. copia de seguridad. Un ransomware raro evitó con éxito la detección de la lista negra y los archivos infectados. Pero el sistema OceanStor detectó una excepción y envió una alarma. El equipo de defensa abrió un directorio de instantáneas y utilizó las instantáneas para restaurar copias limpias de los archivos.

• Tercer round: ransomware latente vs. almacenamiento de copia de seguridad. Un ransomware secuestró el sistema de almacenamiento OceanStor, se escabulló en el sistema sin ser detectado e infectó todos los archivos, incluso las instantáneas. Pero el equipo de defensa había respaldado los datos de producción en el Almacenamiento de respaldo OceanProtect a manera de contingencia contra el ataque. Los datos de la copia de seguridad se utilizaron para restaurar copias limpias en el sistema OceanStor.

• Cuarto round: ransomware ‘definitivo’ vs. aislamiento de datos. El hacker utilizó un potente software de rescate para hacer que el sistema de almacenamiento de copias de seguridad no respondiera. La tecnología air gap de la solución Huawei se utilizó para crear una zona de aislamiento de datos con cortafuegos y funciones de aislamiento de red. La zona conectada a la red sólo durante la replicación de datos, por lo que los datos se protegían del ataque. Los datos aislados se utilizaron entonces para restaurar los datos de producción y el sistema de almacenamiento de copia de seguridad.

Estas pruebas simuladas demuestran cómo la extensa gama de protección de datos de Huawei, incluidas las soluciones de Almacenamiento de respaldo OceanProtect de Huawei y el Almacenamiento all-flash OceanStor Dorado de Huawei, posibilita que las empresas se defiendan contra los ataques de ransomware. Las empresas, preparadas con una estrategia de defensa en varios niveles, estarán ahora mejor posicionadas para impedir que los actores de la amenaza alcancen su objetivo, ya sea para exfiltrar, cifrar, exponer o extorsionar.

Para obtener más información sobre las soluciones de almacenamiento de datos de Huawei, haga clic aquí.

Patrocinado por Huawei.